28.02.2019
Der Cybersecurity Act rückt näher – Welche Konsequenzen gibt es für Unternehmen?

Dr. Jan Scharfenberg
Director Informationssicherheit
Anfang Dezember 2018 haben sich die EU-Kommission, der Rat der EU und das EU-Parlament im Rahmen der sog. Trilogverhandlungen auf die Inhalte des Cybersecurity-Acts geeinigt .
Insbesondere wurde ein Kompetenzzuwachs für die Europäische Agentur für Netz- und Informationssicherheit (ENISA) beschlossen. Diese soll in Zukunft auch als Agentur der Europäischen Union für Cybersicherheit tätig werden. Als Agentur kommt ihr vor allem die Aufgabe zu, Bürger und Unternehmen bei der Umsetzung des Cybersecurity Acts zu unterstützen und diese Umsetzung zu koordinieren. Im Rahmen der Trilogverhandlungen wurde beschlossen die Anzahl der Mitarbeiter der ENISA von 84 auf 125 zu verdoppeln. Diese Erhöhung hängt vor allem mit der (neben der allgemeinen Unterstützung und Koordination) zweiten Aufgabe der ENISA in Bezug auf den Cybersecurity Act zusammen. Sie soll ermitteln und konkretisieren, wie die Zertifizierungssysteme für Cybersicherheit konkret ausgestaltet werden sollen.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Deutschland und der EU-Cybersecurity-Act
Aus nationaler Perspektive verläuft die Entwicklung eines „IT-Sicherheitsgesetzes 2.0“ in Deutschland aktuell parallel zu den EU-Bemühungen um den Cybersecurity Act. Auch das deutsche Gesetz, das noch in der ersten Jahreshälfte 2019 auf den Weg gebracht werden soll, sieht ein Zertifikationssystem für Produkte und Dienstleistungen vor. Es ist daher von großer Bedeutung, dass Deutschland innerhalb der EU darauf hinwirkt, dass es zu keiner – unübersichtlichen- Doppelung von Zertifikaten kommt, sondern dass die selben Anforderungen für Zertifikate in der EU und Deutschland herrschen. Da die EU aber bereits angekündigt hat mitgliedstaatliche Vorgaben bei der Ausgestaltung des Systems zur Zertifizierung zu berücksichtigen, sind die Weichen für ein solches Vorgehen gestellt. Darüber hinaus stellt sich die Frage, wie mit der aktuell im Rahmen des IT-Sicherheitsgesetzes 2.0 umstrittenen Pflicht zur Meldung für Sicherheitslücken umgegangen werden soll. Innerhalb der deutschen Politik ist umstritten, ob eine umfassende Meldepflicht eingeführt werden soll (so wohl die aktuelle Position des Bundesinnenministers: https://www.golem.de/news/it-sicherheitsgesetz-2-0-wo-ist-das-meldegesetz-fuer-it-sicherheitsluecken-1812-138295.html) oder ob bestimmte Sicherheitslücken verschwiegen werden dürfen, um diese – heimlich – zu schließen oder bewusst offen zu lassen, um Hacker fassen zu können.
Würdigung und Diskussion der beschlossenen Veränderungen
Grundsätzlich bleibt es dabei, dass gerade deutsche Produkte innerhalb Europas bereits ein sehr hohes Sicherheitsniveau aufweisen und daher weniger Umstellungen befürchten müssen, um ein hohes Sicherheitszertifikat zu erhalten. Dies gilt umso mehr, als dass mitgliedstaatliche Vorgaben bei der EU-weiten Zertifizierung berücksichtigt werden sollen. Außerdem kann ein von der EU zertifiziertes Produkt außerhalb der EU als besonders sorgsam geprüft eingeordnet werden, wodurch die Zertifizierung Wettbewerbsvorteile schaffen würde.
Allerdings verlangen bereits einige Verbraucherschützer das Zertifizierungssystem in Richtung einer echten Produkthaftung auszuhaben. Dies hieße insbesondere, dass Hersteller entsprechender Soft- oder Hardware, Router etc. im Falle von Cyberangriffen oder sonstigen Lacks für die entstandenen Schäden haften, ohne dass es im konkreten Einzelfall auf ihr Verschulden ankommt. Dieser Gedanke kann nicht überzeugen. So müsste die Produkthaftung umso höher ausfallen, je sicherer ein Produkt zertifiziert ist, weil gerade in solchen Fällen Verbraucher und Unternehmen mehr Geld investieren und sich auf mehr Sicherheit verlassen, und es einem Grundgedanken der Produkthaftung entspricht, das Vertrauen der Erwerber in die Produkte zu schützen. Damit würden Hersteller besonders sicherer Produkte bestraft.
Lernen Sie unsere Expertise in der Informationssicherheit kennen
Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.
Fazit und Ausblick
Die Trilogverhandlungen haben zu einer Einigkeit bezüglich des dreistufigen Zertifizierungssystems geführt. Zudem sollen die Zertifizierungen anfänglich noch freiwillig bleiben. Allerdings wird die EU-Kommission untersuchen, welchen Effekt freiwillige Zertifizierungsvorgaben auf die Cybersicherheit haben. Es scheint wahrscheinlich, dass die Zertifizierungen ab 2023 verbindlich durchzuführen sind, sodass Unternehmen bereits jetzt die konkreten Entwicklungen um die Vorgaben für Zertifizierungen verfolgen und möglicherweise umsetzen sollten. Der Erfolg des Zertifizierungssystems steht und fällt mit Transparenz und Effektivität. Es ist daher wünschenswert, dass konkret umsetzbare Vorgaben von der EU entwickelt werden, die das Risiko erfolgreicher Cyberangriffe zu minimeren.
Weitere Neuigkeiten
03.02.2025
Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
Die Bestellung eines Datenschutzbeauftragten ist für ein Großteil der Unternehmen Pflicht. Doch was macht ein DSB überhaupt und was sollte er können. Und wann ist es sinnvoll, einen externen DSB zu bestellen und wann reicht vielleicht eine interne Lösung? Wir haben alle Informationen zum externen Datenschutzbeauftragten zusammengestellt, um Ihnen die Entscheidung zu erleichtern.
Weiterlesen … Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
23.01.2025
Cyber Resilience Act: Frist, Anwendung & Maßnahmen
Der Cyber Resilience Act bringt weitreichende Veränderungen in der EU mit sich und betrifft insbesondere Unternehmen aus dem Maschinen- und Anlagenbau. Produkte mit kommunikationsfähigen digitalen Elementen müssen ab 2027 strenge Sicherheitsstandards erfüllen, um die CE-Kennzeichnung zu erhalten. Das Gesetz verlangt Maßnahmen zur Minimierung von Cybersicherheitsrisiken während des gesamten Produktlebenszyklus - vom Design bis zur regelmäßigen Bereitstellung von Updates nach Inverkehrbringen. Damit Ihrem Unternehmen die Umsetzung gelingt, gibt dieser Beitrag einen Überblick über alle wesentlichen Neuerungen.
Weiterlesen … Cyber Resilience Act: Frist, Anwendung & Maßnahmen
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download